What is the NIS2 Directive?

Directive (EU) 2022/2555, more commonly known as NIS2 is the second iteration of the EU’s Network and Information Security (NIS) directive, and it is the primary cybersecurity standard in the EU. NIS2 updates NIS by expanding the sectors affected by the law and its requirements. By October 17, 2024, EU member states are required to implement NIS2 in their national laws, so all organizations affected by NIS2 must be in compliance by Q4 2024.

Serviços globais da Infinity ENTRE EM CONTATO COM UM ESPECIALISTA

What is the NIS2 Directive?

A importância da diretriz NIS2

O NIS2 cria um conjunto padrão de requisitos de segurança cibernética para organizações que fornecem serviços essenciais ou importantes para os estados membros da UE. Ao fazer isso, reduz o risco de que ataques cibernéticos contra essas organizações possam resultar em repercussões significativas para os cidadãos da UE.

Setores afetados pela Diretiva NIS2

Organizations that meet all three of the following criteria must comply with the NIS2 Directive by October 18, 2024

NIS

A diretriz NIS2 classifica os setores em entidades essenciais e importantes. Exemplos de entidades essenciais (EE) incluem:

  • Energy
  • Transporte
  • Financeiro
  • Administração pública
  • Serviço de saúde
  • Espaço
  • Abastecimento de água
  • Infraestrutura digital

O NIS2 também afeta entidades importantes (IE), como o senhor:

  • Serviços postais
  • Gerenciamento de resíduos
  • Produtos químicos
  • Pesquisa
  • Alimentos
  • Manufatura
  • Provedores digitais

NIS Providers

Além dos setores, a Conformidade NIS2 também é afetada pelo tamanho da organização. Em geral, as EEs devem ter pelo menos 250 funcionários e um faturamento anual de mais de 50 milhões de euros ou um balanço patrimonial de 43 milhões de euros. Em geral, as IEs devem ter pelo menos 50 funcionários e um faturamento ou balanço anual de pelo menos 10 milhões de euros. No entanto, essas regras variam de acordo com o setor. Além disso, as empresas que são o único fornecedor de um determinado serviço em um estado membro da UE podem ser classificadas como EE ou IE, independentemente do tamanho.

Quais são os requisitos do NIS2?

O NIS2 cria quatro conjuntos de requisitos organizacionais de alto nível, incluindo:

  • Gerenciamento de riscos: As organizações devem gerenciar seus riscos cibernéticos por meio de resposta a incidentes, segurança da cadeia de suprimentos, segurança de rede, controle de acesso e uso de criptografia.
  • Responsabilidade corporativa: A gerência corporativa é responsável pela segurança da organização e deve assumir um papel ativo e informado no gerenciamento de riscos cibernéticos.
  • Obrigações de comunicação: A NIS2 define os requisitos de comunicação para incidentes de segurança significativos, incluindo um "aviso prévio" de 24 horas.
  • Continuidade dos negócios: As organizações afetadas devem ter estratégias de continuidade dos negócios em vigor, incluindo a criação de planos de recuperação, procedimentos de emergência e uma equipe de resposta a crises.

Além disso, ele especifica um conjunto de dez requisitos mínimos, que incluem:

  1. Realização de avaliações de risco e implementação de políticas de segurança para sistemas de TI.
  2. Implementação de políticas e procedimentos para o uso de criptografia e codificação.
  3. Protegendo e gerenciando a vulnerabilidade na aquisição de sistemas.
  4. Implementação de procedimentos de segurança para usuários que podem acessar dados confidenciais.
  5. Usar autenticação multifatorial (MFA), autenticação contínua e comunicações criptografadas quando apropriado.
  6. Avaliar a eficácia dos controles de segurança implementados.
  7. Planejamento para detecção e resposta a incidentes.
  8. Treinamento de funcionários sobre higiene básica do computador.
  9. Planejamento para continuidade dos negócios e recuperação de desastres (backups, acesso contínuo, etc.)
  10. Proteger a cadeia de suprimentos e como a empresa gerencia a vulnerabilidade potencial em relacionamentos com terceiros.

Penalidades por violações da NIS2

A NIS2 estabelece vários tipos de penalidades que podem ser aplicadas a uma organização por não conformidade, incluindo

  • Penalidades não monetárias: As autoridades nacionais de supervisão têm permissão para forçar as organizações a entrar em conformidade, seguir instruções obrigatórias, realizar uma auditoria de segurança ou notificar seus clientes sobre uma possível ameaça.

Non Monetary Penalties

  • Administrative Fines: Administrative penalties depend on the type of entity. While significant penalties can be imposed for failure to comply, there are a series of steps that must be taken before an entity is required to pay a monetary fine. The first step is a simple warning, then temporary suspension of the right to provide services within the EU, and only then fines. EEs are subject to fines of the greater of 10 million euros or 2% of global annual revenue. IEs can be fined up to 7 million euros or 1.4% of global annual revenue.
  • Sanções penais: Em caso de negligência grave, o NIS2 permite que a alta gerência seja responsabilizada pessoalmente por incidentes de segurança. Isso inclui ordenar que a empresa torne públicas as violações da Conformidade, declare publicamente qual violação ocorreu e quem é o culpado, e impeça temporariamente que indivíduos ocupem cargos de gerência.

Garanta que sua empresa esteja em conformidade com o NIS2 com o IGS

A diretiva NIS2 foi criada para limitar o risco de que ataques cibernéticos contra entidades essenciais e importantes na UE afetem sua capacidade de prestar serviços aos cidadãos da UE. Essa atualização do NIS original amplia o escopo da diretiva, implementa requisitos atualizados e fornece aos órgãos reguladores o poder de aplicar penalidades adicionais e mais rigorosas contra as organizações que não cumprirem seus requisitos.

Alcançar a conformidade com a diretiva NIS2 dentro dos prazos no quarto trimestre de 2024 é essencial para todas as organizações afetadas e exige a implementação de um programa robusto de segurança cibernética. A Check Point oferece suporte para empresas que tentam atingir esse e outros objetivos de segurança cibernética por meio de seu programa Infinity Global Services.

Check Point’s External Risk Management offering helps with compliance in several ways, from supply chain monitoring, to attack surface management. See below an overview.

NIS2 Coverage

Demo it here 

Check PointA avaliação de prontidão para NIS2/DORA da KPMG envolve uma avaliação no local, realizada por consultores sênior da Check Point, da conformidade atual de uma organização com a diretiva NIS2. Com base nessa avaliação, o site Check Point fornece orientações sobre como as organizações podem fechar a segurança de API identificada e obter a conformidade com o padrão. Para obter mais informações sobre como atingir suas metas de Conformidade NIS2 antes do prazo, entre em contato conosco.